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Description 

(.'invention concerns la communication securisee de donnees entre une plural ite d'utilisateurs. 

II est frequent d'assurer des communications securisees entre les d if fe rents utilisateurs en utilisant des 
5 moyens de chiffrement mettant en oeuvre des cles de chiffrement et implantes au sein de postes utilisateurs. 
Un poste utilisateur peut 6tre affecte & un seul utilisateur ou bien d plusieurs utilisateurs drfferents. Bien que 
la notion de communication entre les utilisateurs se materialise generalement, par des connexions entre les 
postes utilisateurs, cette notion doit etre prise dans son sens le plus large. Ainsi, par exemple, on peutenvisager 
le cas ou les postes utilisateurs utilises pour le traitement proprement dit des messages & communiquer, ne 
w sont pas connectes, la communication s'effectuant alors par d'autres moyens. 

Au sens de la presente invention, la notion de communication securisee comprend Tun au moins des 
concepts suivants, 

- ('authentication d'un utilisateur vis-a-vis d'un autre utilisateur, cette authentication permettant ainsi 
d'assurer I'origine des messages; 

15 - la certification de cette authentication par une autorite a laquelle appartient une famille d'utilisateurs, 
cette certification permettant d'assurer I'appartenance d'un utilisateur a ladite famille; 

- I'integrite d'un message communique, generalement par ('utilisation d'une signature accompagnant le 
message, cette signature etant le chiffrement d'un condense du message; 

- la mise a la de, c'est-a.-dire I'echange par deux utilisateurs d'informations chiffrees & des fins de cons- 
20 titution d'une cle de chiffrement qui leur permettra & I'aide des moyens de chiffrement du type a cle secrete, 

par exemple DES (Data Encryption Standard) de se communiquer des messages de facon chiffree. 
Deux grandes families de moyens de chiffrement peuvent §tre distinguees : 

- les moyens de chiffrement du type symetrique et 

- les moyens de chiffrement du type asymetrique. 

25 Les moyens de chiffrement du type symetrique, tels que ceux utilisant I'algorithme DES, permettent d'as- 
surer Tintegrite des messages ainsi que ('authentication des utilisateurs. Pour ce dernier concept, un premier 
utilisateur peut envoyer dun deuxieme utilisateur un alea que le deuxieme utilisateur peut signer et renvoyer 
au premier utilisateur. Le premier utilisateur verif ie ainsi que son interlocuteur est bien detenteur de la cle de 
chiffrement Cependant, ie role du deuxieme utilisateur signataire de I'alea et du premier utilisateur verif iant 

30 la signature de cet alea ne sont pas bien separ6s puisque ce premier utilisateur possedant la de de chiffrement 
est en mesure de signer a. la place du deuxieme utilisateur. Aussi, est-il necessaire de g6ne>er des signatures 
electroniques de messages verif iables par tout autre utilisateur voulant s'assurer de I'authenticite des messa- 
ges et de son auteur mais impossibles d imiter par quiconque. C'est i'interet des moyens de chiffrement du 
type asymetrique. 

35 Dans I'utilisation de tels moyens de chiffrement du type asymetrique, chaque utilisateur possede une cle 
publique et une cle secrete, la cle publique pouvant etre dif fusee aux autres utilisateurs car ne permettant pas, 
par definition des moyens de chiffrement du type asymetrique, de retrouver la cle secrete. II existe plusieurs 
moyens de chiffrement du type asymetrique, bases sur I'arithmetique dans I'ensemble des entiers modulo un 
entier de travail n. Au sens de la presente invention, un entier modulo n est un ensemble d'entiers ordinaires 

40 & savoir I'ensemble de tous les entiers se deduisant d'un entier donne par addition d'un multiple quelconque 
de n. L'ensemble des entiers modulo n est note Zn. 

Parmi les moyens de chiffrement du type asymetrique, celui utilisant I'algorithme & de publique RSA (Ri- 
vest Shamir Adleman) est actuellement employe dans certains dispositifs de communication. Un tel dispositif, 
utilisant I'algorithme RSA, permet d'assurer les concepts d'authenttf ication (par I'utilisation d'une de publique 

45 propre & chaque utilisateur), d'integrite (envoi de signatures accompagnant les messages) et de mise & la cle 
(echange d'une cle de chiffrement d'algorithme symetrique). 

A chaque utilisateur est associe un entier d'identrf ication et un annuaire peut stocker les couples entier 
d'identif ication/d6 publique, mais I'integrite de cet annuaire et des liaisons utilisateurs/annuaire doivent alors 
etre assurees ce qui enframe une complication importante. Pour pallier cet inconvenient une possibility est 

so qu'une autorite cert if ie rentier ^identification et la de publique de chaque utilisateur en delivrant un certif icat. 
Dans la suite du texte, pour des raisons de simplicite, on confondra les denominations poste utilisateur et 
utilisateur puisqu'un poste utilisateur est employe pour une communication donnee par un seul utilisateur. On 
parlera done notamment de rentier d'identif ication ou de la de publique du poste utilisateur etant entendu que 
cet entier d'identif ication peut dependre des caracteristiques propres de chaque utilisateur. 

55 Lorsqu'un premier poste utilisateur veut communiquer avec un second poste utilisateur, le premier poste 
utilisateur va done envoyer son message, la signature de son message et son cert if icat Le second utilisateur 
va devoir d'abord traiter le certif icat pour verifier ainsi la de publique du premier poste utilisateur et s'assurer 
done que ce dernier appartient bien a I'autorite puis verifier en suite la signature du message. Si Ie certif icat 
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etait altere par un fraudeur celul-ci ne serait pas reconnu valide par le second poste utilisateur puisque seule 
I'autorite con nail la cle de chiffrement necessaire pour catculer tout certif icat de cle publique. 

Un dispositif de communication utilisant un algorithme a cle publique comme RSA presents des inconve- 
nients. En effet la person nali sat ion du poste utilisateur est assez compliquee : elle requiert la recherche de 
5 nombres premiers "forts", tdche assez complexe a realiser pour (par exemple) un microprocesseur 8 bits. D'au- 
tre part, I'algorit hme RSAest lourd a mettre en oeuvre par ie grand nombre d'operations necessaires aux divers 
chiffrements. Enf in, un tel algorithme doit etre serieusement regie me nte car il peut etre utilise pour faire du 
chiffrement de messages complets. 

II existe d'autres moyens de chiffrement du type asymetrique plus legers a mettre en oeuvre mais ne per- 
10 mettant pas d'assurer a la fois les quatre concepts de securite tels que def inis ci-avant Notamment certains 
de ces moyens de chiffrement ne permettent pas d'assurer le concept de certification. 

L'in vent ion remedie a ces inconvenients en proposant un dispositif de communication securisee de don- 
nees per mettant notamment d'assurer le concept de certification par une personnalisation simplifies du poste 
utilisateur et per mettant si necessaire d'assurer les autres concepts de securite. 
15 Un autre but de I'invention est d'utiliser des moyens faciles a mettre en oeuvre et ne necessitant pas un 
trop important nombre de calculs operatoires. 

L'invention a encore pour but de proposer un dispositif ne per mettant pas un detournement possible a des 
fins de chiffrement de messages complets done ne necessitant pas de reglementation stricte. 

L'invention a done pour objet un dispositif de communication, comprenant un poste utilisateur muni de 
20 moyens de traitement comportant : 

- des premiers moyens de memorisation pour m6moriser un entier premier e ainsi qu'un entier de travail 
n, cet entier de travail etant de grande taille et egal au prod u it de deux en tiers premiers p et q, 

- des premiers moyens de calcul sur Pensemble des nombres entiers modulo rentier de travail n, ces pre- 
miers moyens de calcul etant aptes a effectuer des operations internes dans cet ensemble telle qu'une 

25 premiere operation dite prod u it, une deuxieme operation dite elevation a la puissance, et lesdits moyens 
de calcul etant propres au chiffrement de donnees, a I'aide d'un entier d'authentif ication V propre au poste 
utilisateur et determinable a partir de rentier premier e sous reserve de connaitre la factorisation de n en 
produit de p et q, caracterise en ce que le reste de la division du produit (p-1).(q-1 ) par rentier e est different 
deO, 

30 - en ce que les premiers moyens de memorisation sont propres a memoriser un entier choisi b tel que b 
modulo p soitgenerateur de I'ensemble des entiers modulo p non nuls et tel que b modulo q soit generateur 
de I'ensemble des entiers modulo q non nuls, 

- en ce que le poste utilisateur comporte en outre des seconds moyens de memorisation propres a me- 
moriser un entier s de grande taille propre au poste utilisateur, 

35 - et en ce que lesdits premiers moyens de calcul sont propres a etablir un entier auxiliaire A def ini comme 
etant le produit V par rentier b eteve a la puissance s, 
ce qui permet au poste utilisateur de communiquer rentier auxiliaire A af in de s'authentif ier sans que cette 
communication permette de determiner la valeurd'authentification V. 

Tres avantageusement, le poste utilisateur com prend une enceinte de securite a I'interieurde laquelle sont 
40 situes au moins les premiers moyens de calcul et les seconds moyens de memorisation. 

Dans un mode prefere de realisation, le dispositif selon I'invention com prend des moyens de traitement 
supplementaires aptes a generer les deux entiers premiers p et q, pour etablir rentier de travail n, ainsi que 
les entiers e et b; les moyens de traitement supplementaires sont avantageusement aptes a effectuer ('ope- 
ration inverse, dite racine, de ladite deuxieme operation, et I 'operation inverse dite division de ladite premier tion 
45 et, sont propres a determiner rentier d'authentrfication V a partir d'un entier d'identif ication I propre au poste 
utilisateur, V etant egal a la division de rentier 1 par la racine e-ieme de I. 

De preference, rentier d'identif ication I est different d'un multiple d'un entier k different de 1 eleve a la 
puissance e. 

Tres avantageusement, les moyens de traitement comportent en outre des moyens de generation d'un 
so entier aleatoire x, de preference de tres grande taille, situes a I'interieur de I'enceinte de securite. 

Dans un mode de realisation du dispositif, les premiers moyens de memorisation sont propres a memoriser 
des informations def inissant une fonction auxiliaire h a deux variables y1 et y2, le poste utilisateur comprenant 
alors des seconds moyens de calcul sur I'ensemble des nombres entiers modulo n propres a etablir un entier 
de condensation c, tel que le reste de la division de c par e soit different de 0, et def ini comme etant la valeur 
55 de la fonction h avec, pour premiere variable y t un entier y dependant de rentier aleatoire x, et avec pour 
deuxieme variable y 2 un message M, la fonction auxiliaire h etant alors depourvue d'ambiguite vis-a-vis du 
message M et quasi- biunivoque vis-a-vis du couple forme par rentier y et le message M. 

De preference, la taille de rentier de condensation c est inferieure a la taille de rentier e et rentier y est 
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l'6l6vation de rentier aieatoire x £ la puissance e. 

Les premiers moyens de catcul peuvent 6tre propres £ etablir un entier z d6f ini comme etant ie produit de 
x, par rentier b 6lev6 £ la puissance s.c. 

Dans une premiere variante de I'invention, les deux entiers y et z constituent une premiere signature chif- 
5 fr£e du message, et dans une deuxieme variante de I'invention, les deux entier z et c constituent une deuxieme 
signature chrffr6e du message. 

Dans un mode de realisation du dispositif, celui-ci com pre nd un poste utilisateur fr6re comportant des pre- 
miers moyens de calcul fr£res analogues aux premiers moyens de calcul ainsi que des premiers et seconds 
moyens de memorisation fteres analogues aux premiers et seconds moyens de memorisation, lesdits premiers 
10 moyens de memorisation freres contenant les entiers e, n, b. 

Avantageusement, le poste utilisateur frere comporte des seconds moyens de calcul freres analogues aux 
seconds moyens de calcul, les entiers I, A, le message M et la signature chiffr6e etant alors communiques au 
poste utilisateur frere, les seconds moyens de calcul fr6res etant alors propres £ determiner I'entierde conden- 
sation c par la relation c=h(y.M) et les premiers moyens de calcul fibres etant propres £ etablir un premier entier 
15 inter media ire 1 £gal £ y.(AM) c et un second entier inter mediaire u 6gal £ I 'elevation de z £ la puissance e puis 
etant propres £ comparer les premier et deuxi£me entiers inter m6diaires t et u, le resultat de cette comparaison 
permettant de determiner le caract£re correct de la communication du message. 

Dans une autre variante de I'invention, les premiers moyens de calcul fr£res sont aptes & effectuer Tope- 
ration inverse de la premiere operation, dite division et sont propres & effectuer la succession des etapes sui- 
20 vantes : 

a) determination d'un troisi£me entier interm6diaire t3 egal £ l'ei6vation £ la puissance c du produit AM, 

b) determination d'un quatri£me entier intermediaire t4 egal £ la division de rentier 1 par rentier t3, 

c) determination d'un cinqui6me entier intermediaire t5 gal au produit de rentier z eieve £ la puissance e 
par rentier intermediaire t4, 

25 d) determination d'un sixi&me entier intermediaire t6 egal £ la valeur de la fonction auxiliaire h dans laquelle 
la premiere variable y 1 est egale £ rentier t5 et dans laquelle la seconds variable y2 est 6gale au message 
M, 

e) comparaison de rentier t6 avec rentier de condensation c, le resultat de cette comparaison permettant 
de determiner le caract&re correct de la communication du message. 
30 La fonction auxiliaire h peut etre une partie predetermines de la fonction OU EXCLUSIF des deux variables 
y1 et y2. 

La fonction h peut etre aussi une partie pr£determin6e d'une fonction de condensation g des deux varia- 
bles y1 et y2. 

Dans ce dernier cas, la fonction g peut etre une fonction de condensation de type it£ratif ou bien encore 
35 peut comprendre ('utilisation d'un algorithms du type £ cl£ secrete en mode boucie. 

Dans une autre variante de I'invention, les premiers moyens de calcul sont propres £ etablir une premiere 
partie d'une d£ de chiffrement dependant de rentier aieatoire x, cette premiere partie etant communiquee au 
poste utilisateur frere, les premiers moyens de calcul fr£res etant alors propres £ etablir £ partir de ladite pre- 
miere partie et de rentier s', frere de rentier s, contenu dans les moyens de memorisation fr£res, la totality de 
40 ladite cie de chiffrement 

Avantageusement, la premiere partie de la cie de chiffrement est egale £ rentier b eieve £ la puissance 

x. 

De preference, la cie de chiffrement est egale £ l'£ievation £ la puissance e.s' de ladite premiere partie. 

Tr6s avantageusement, les premiers moyens de calcul determinent egalement la cie de chiffrement £ partir 
45 de rentier a!6atoire x, des entiers auxiliaires A' et rentier d'identif ication I' du poste utilisateur frere, la cie de 
chiffrement etant egale £ l'6l6vation £ la puissance x du produit A'°.l\ 

Dans un mode de realisation du dispositif, celui-ci comporte une premiere station-autorite comprenant les- 
dits moyens de traitement suppiementaires et communiquant les entiers e, n, b £ une premiere famille de postes 
utilisateurs. 

50 Dans un autre mode de realisation du dispositif, celui-ci comporte une deuxieme station-autorite compre- 
nant des moyens de traitement suppiementaires fr£res et communiquant des entiers freres e2, n2, b2 £ une 
deuxi£me famille de postes utilisateurs. 

Tres avantageusement, la premiere station-autorite communique £ la deuxieme station-autorite une signa- 
ture d'un message particutier dependant des entiers e2, n2, b2, obtenue £ I'aide des entiers e, n, b, et la deuxi£- 
55 me station-autorite communique £ la premiere station-autorite une signature d'un message particulier depen- 
dant des entiers e, n, b, obtenue £ I'aide des entiers e2, n2, b2. 

Tr£s avantageusement, la taille de rentier de travail n est de 51 2 bits tandis que la taille de rentier premier 
e est de 65 bits alors que la taille de rentier de condensation c est de 64 bits. De preference, la taille de rentier 
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aieatoire x est de 512 bits ainsi que celle de rentier b alors que la taille de rentier s est de 64 bits. 

Dans un mode de realisation particulierement pr6f6r6, les premiers moyens de calcul comprennent un 
contrdleur du type de celui d6crit dans la Demande de Brevet francais n° 87 05144. 

D'autres avantages et caracteristiques de I'invention apparaTtront a I'examen de la description detaiHee 
5 ci-apres et des dessins annexes sur lesquels : 

- la figure 1 est une representation schematique d'un premier mode de realisation du dispositrf selon r in- 
vention, 

- la figure 2 est une representation schematique d'un poste utilisateur du dispositrf de la figure 1, 

- la figure 3 est une representation schematique d'une premiere station-autorite du dispositif de la figure 
10 1, 

- la figure 4 il lustre le dialogue entre la premiere station-autorite et le poste utilisateur de la figure 2, 

- la figure 5 est un organigramme d'un premier mode de fonctionnement du dispositif seion I'invention, 

- la figure 6 est un organigramme d'un deuxieme mode de fonctionnement du dispositrf selon I'invention, 

- la figure 7 est un organigramme d'un troisteme mode de fonctionnement du dispositif selon I'invention, 
15 - la figure 8 est une representation schematique d'un deuxieme mode de realisation du dispositif selon 

I'invention, et, 

- la figure 9 est un organigramme d'un mode particulier de fonctionnement du dispositif de la figure 8. 
Les dessins comportant pour I'essentiel des elements de caractere certain font partie integrante de la des- 
cription. II en est de mSme de la Demande de Brevet francais n°87 05144. Ace titre, les dessins annexes ainsi 

20 que la Demande de Brevet francais n°87 05144 pourront servir non seulement a mieux faire comprendre la 
description detainee ci-apres mais aussi contribuer, le cas ech6ant, a la definition de I'invention. 

Sur la figure 1 on voit que Ton a represents une plurality de postes utilisateurs appartenant a une meme 
famille FAM1. La reference PU est affectee e un poste utilisateur tandis que la reference PU' est affectee a 
un poste utilisateur frere de la famille FAM 1 . Cette famille est supervisee par une station-autorite AUT1 . 

25 Un poste utilisateur PU, tel que represents sur la figure 2, comporte des moyens de traitement MT compre- 
nant des premiers moyens de calcul MC1 etdes seconds moyens de calcul MC2 ainsi que des premiers moyens 
de memorisation MM1 et des seconds moyens de memorisation MM2. Les moyens de traitement MT compor- 
tent egalement des moyens de generation MG d'un nombre aieatoire. 

Les premiers moyens de calcul, les seconds moyens de memorisation et les moyens de generation du 

30 nombre aieatoire sont situ6s a I'interieur d'une enceinte de s6curit6 ENSE. Au sens de la presente invention, 
le concept d'une enceinte de s6curite sign if ie que I'on ne peut pas acceder, a des fins de fraude par exemple, 
aux informations contenues a I'interieur de cette enceinte de securite. La raison de I'utilisation d'une telle en- 
ceinte de securite sera explicitee ci-apres. 

Les premiers moyens de memorisation m6morisent un entier premier e dont la taille est de 65 bits ainsi 

35 qu'un entier de travail n dont la taille est de 512 bits. 

Les premiers moyens de calcul sont aptes a ef fectuer des operations internes sur ('ensemble Zn des nom- 
bres entiers modulo rentier de travail n telles qu'une premiere operation dite produit, son operation inverse 
dite division ainsi qu'une deuxieme operation dite elevation a la puissance. 

II convient ici de remarquer que I'ensemble Zn est un anneau au sens math6matique du terme. Si rentier 

40 n est premier alors Zn est un corps au sens mathematique du terme c'est-a-dire que tout element sauf 0 a un 
inverse pour la premiere operation. Si par contre rentier de travail n est le produit p.q de deux entiers p, q alors 
Zn n'est pas un corps. Dependant, lorsque le nombre n a une tres grande taille, par exemple 512 bits, p et q 
pouvant etre alors des entiers de 256 bits, I'ensemble Zn est "presqu'un corps". En effet les entiers compris 
entre 0 et n-1 qui ne sont pas premiers avec n done qui n'ont pas d'inverse modulo n sont de la forme aO.p ou 

45 a1 .q. Avec la taille du nombre n choisie et les tailles des nombres p et q, on obtient une densite d'entiers non- 
inversibles egale a 2- 255 . On obtient done une probability inf initesimale (1 O^ 60 ) de rencontrer un element n'ayant 
pas d'inverse. 

II convient ici egalement de remarquer qu'etant donne un entier m, le calcul de la division de 1 par m se 
fait en cherchant des entiers a2 et a3 positifs ou n6gatifs tels que a2.m+a3.n=1. Ces entiers a2 et a3 existent 

so si les entiers m et n sont premiers entre eux (theoreme de BEZOUT) et alors rentier a2 est egal e la division 
de 1 par rentier m. La met hod e utilisee est bas6e sur I'algorithme d'EUCLIDE qui permet le calcul du PGCD 
(Plus Grand Commun Diviseur) de deux nombres. 

Une methods, pour 6lever a la puissance a4 un entier m dans Zn consisterait a multiplier rentier m(a4-1) 
fois par lui-meme. Cependant cette methode sera it trop tongue car elle n6cessiterait environ 10 160 operations. 

55 Une methode eff icace utilise alors le fait que (m 2a4 )=(m 2 ) a4 . Done (2.a4-1) operations sont remp!ac6es par a4 
operations. En decomposant a4 en puissance de 2 on voit alors que m* 4 est calcuie en moyenne par 1,5 
log2(a4) operations modu (aires du type r.m ou r est une variable de travail et la fo notion log2 designs la fonction 
logarithme a base 2. Si rentier a4 a une taille de 512 bits on a done seulement 768 operations modu! aires en 
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moyenne. 

Une m6thode pour effectuer une operation modulaire du type F.B modulo n est decrite dans la Demande 
de Brevet frangais n°87 05 144. On en rappelle ici les principales caracteristiques rhomme de Tart pouvant se 
referer a la Demande de Brevet frangais precitee pour plus de details. 
5 Pour effectuer chacune des operations F.B modulo n, ou F et B ont des valeurs entieres representees par 

des mots numeriques de nb bits, la variable F est fractionnee en J+1 mots de tb bits, F0....FL...FJ, ou tb est un 
entier predetermine et J+1 un entier egal ou immediatement superieur au rapport nb/tb. Chacun des mots F t , 
ou i est un entier compris en 0 et J est multiplied par la variable B et le produit de la multiplication est ajoute a 
un mot num6rique de somme T de valeur egale a la somme cumuiee des produits anterieurs r6duite modulo 
10 n, la reduction modulo n du mot de somme T est realises en lui soustrayant une quantite d|.n t ou d, est un mot 
numerique constitu6 des tb+1 bits de poids fort du mot de somme T, a chaque fois qu'il atteint une valeur su- 
perieure ou egale a ladite quantite d|.n. 

Pour mettre en oeuvre cette methode, les premiers moyens de calcul MC1 comprennent des moyens de 
memorisation auxiliaires pour memoriserdes informations definissant I'exponentiation modulo n d'un mot nu- 
ts merique, des moyens de calcul auxiliaires pour effectuer des operations du type T±r.n ou r est un mot nume- 
rique F| ou d ( et des moyens de commando de ces moyens de memorisation et de ces moyens de calcul auxi- 
liaires. 

La station-autorite AUT1 comporte des moyens de traitement suppl6mentaires MTS propres a g6n6rer 
deux nombres premiers p et q de fagon a former le produit n. Cet entier de travail n sera communique a tous 
20 les postes utilisateurs de la famille FAM1 et ce quasiment sans risque de determination des entiers premiers 
p et q car la recherche de p et q connaissant uniquement n n'a pas de solution pratique a ce jour pour des 
nombres aussi grands. Une telle equation est done dite quasiment insoluble car les plus puissants ordinateurs 
disponibles actuellement passeraient des milienaires pour factoriser de tels nombres avec les meilleurs algo- 
rithm es connus a ce jour. 

25 Les moyens de traitement suppiementaires fournissent egalement un nombre premier e de 65 bits et un 
entier b tels que b modulo p soit g6n6rateur de I'ensemble Zp* des entiers modulo p non nuls et tels que b 
modulo q soit g6nerateur de I'ensemble Zq* des entiers modulo q non nuls remarque etant faite qu'ici un entier 
modulo p nul est egal a I'ensemble des multiples de p. Une telle condition sur b permet de calculer une fonction 
logarithme de base b dans I'ensemble Zp* ou Zq*. Dans le cas present, ou n est le produit de p et de q, il faut 

30 que les entiers e, p-1 et q-1 soient premiers entre eux. Or puisque e est un entier premier, il suff it done que e 
ne divise pas le produit (p-1).(q-1) en d'autres termes il suffit que le reste de la division du produit (p-1). (q-1) 
par rentier e soit different de 0. 

Ainsi, la demarche d'une station-autorite sera done la suivante : 

- generation de deux nombres premiers p et q et determination du produit n=p.q; 

35 - choix d'un entier e premier sur 65 bits et verification que e ne divise pas le produit (p-1). (q-1); 

- choix d'un nombre b au hasard de 512 bits et verification que b modulo p est g6nerateur de I'ensemble 
des entiers modulo p non nuls et que b modulo q est g6n£rateur de I'ensemble des entiers modulo q non 
nuls; 

- communication a tous les postes utilisateurs de la famille FAM1 dependant de la station-autorite des en- 
40 tiers e, n et b. 

Chaque poste utilisateur PU choisit alors un entier d'identrf ication I qu'il va communtquer a la station-au- 
torite AUT1 af in que celle-ci determine un entier d'authentif ication V egal a ('inverse de la racine e-ieme de 
t'entier d' identification 

e 

I : V^l/VT. 

La fonction racine e-ieme, y— , est I'inverse de la fonction elevation a la puissance e et n6cessite de connaTtre 
la factorisation de n en produit de p et q. Comme seule la station-autorite connait cette factorisation, seule cette 
derniere peut calculer rentier d'authentif ication V. 

Cet entier d'authentif ication V est ensuite communique par station-autorite au poste utilisateur. Celui-ci 
choisit de fagon secrete un entier s de grande taille, de preference de 64 bits, qui lui est propre et qui est ('equi- 
valent d'une cie secrete. A part ir de cette cie secrete, de rentier d'authentif ication V et de rentier b, les premiers 
moyens de calcul determined un entier aux ilia ire A egal au produit de V par rentier b eieve a la puissance s 
(A^.b 8 ). Cet entier A joue done le role d'une cie publique et est communique a tous les postes utilisateurs. 
Ce m6canisme d'authentif ication d'un poste utilisateur est il lustre sur la figure 4 et offre une personnalisation 
simple et sOre du poste utilisateur. En effet, on a d6ja vu que rentier d'authentif ication V ne pouvait pas dtre 
determine sans la connaissance de la factorisation de n et rentier auxilia ire A ne permet pas de determiner 
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facilement ta cle secrete s car cette Equation A=V.b s est, compte tenu de la taille de s v quasi insoluble au sens 
de la presente invention c'est-a-dire qu'il faudrait des millenaires de temps de calcul avec les ordinateurs les 
plus puissants existant actuellement pour retrouver s connaissant b et V. 

II convient d'ores et deja de remarquer que la communication securisee du dispositrf selon invention re- 

5 pose done sur le fait qu'une equation en w du type b w est quasi insoluble ainsi qu'une equation en w du type 
w° si I'on ne connaft pas la factorisation de n. 

L'entier d'identif ication I d'un poste utilisateur est une valeur binaire obtenue a partir de I' identification de 
I'utilisateur du poste utilisateur (par exemple a partir du nom, du prenom, de I'adresse). Cet entier d'identif »- 
cation contient egalement une date de fin d'abonnement Le format exact de I n'est pas detaille ici mais I doit 

10 verifier certaines contraintes pour que la valeur d'authentif ication d'un poste utilisateur frere I' ne puisse etre 
simplement deduite de cede du poste utilisateur notamment par une relation de la forme l'=k°l. 

Si tel etait le cas alors un utilisateur connaissant V pourrait deduire simplement V par la relation V'=k.V. 
Cette contrainte peut etre obtenue facilement en structural I de fa$on non arithmetique en uttlisant par exem- 
ple des operations OU EXCLUSIF ou des inversions bit a bit. 

15 Les premiers moyens de memorisation MM1 sont propres a memoriser les informations definissant une 
fo net ion auxiliaire h a deux variables y1 et y2 et les seconds moyens de calcul du poste utilisateur sont propres 
a etablir un entier de condensation c qui ne soit pas multiple de l'entier premier e autrement dit tet que le reste 
de la division de c par e soit different de 0. Une condition suffisante pour que c ne soit pas multiple de e est 
que la taille de rentier c soit inferieure a la taille de rentier e. C'est pourquoi l'entier c est un nombre de 64 

20 bits. Les caracteristiques de la fonction auxiliaire h seront decrites ci-apres. 

Le dispositrf de communication est done tel que tous les postes utilisateurs d'une meme famille FAM1 ont 
en commun les entiers e, n, b. Chaque poste utilisateur a un entier d'identif ication I et une cle publique A qui 
lui est propre mais qui est divulguee a tous les autres postes utilisateurs de la famille et chaque poste utilisateur 
a une cle secrete s qui lui est propre et qui n'est pas communiquee aux autres postes utilisateurs de la famille. 

25 L'entier auxiliaire A (cle publique) garantit non seulement I'authentif ication du poste utilisateur mais aussi sa 
certification par I'autorite AUT1 car celle-ci est la seule a pouvoir determiner l'entier d'authentif ication V. II 
convient d'ores et deja de remarquer que tous les modes de fonctionnement decrits ci-apres reposeront sur 
la relation (R) : 

AM = b M . 

30 On suppose maintenant dans un premier mode de fonctionnement du dispositrf qu'un poste utilisateur PU 
veutlle envoyer un message M accompagne d'une signature af in d'en assurer I'integrite. II est fait reference a 
la figure 5 pour decrire ce premier mode de fonctionnement. 

Dans I'etape 500, les moyens de generation MG generent un nombre aleatoire x de 512 bits puis deter- 
minant dans I'etape 501 un entier y egal a I'elevation a la puissance e de rentier aleatoire x. Les seconds 

35 moyens de calcul determinant alors dans I'etape 502 l'entier de condensation c egal a la valeur de la fonction 
auxiliaire h dans laquelle la premiere variable y1 est egale a l'entier y et dans laquelle la variable y2 est egale 
au message M a communiquer. La fonction auxiliaire h doit etre depourvue d'ambiguite vis-a-vis du message 
M c'est-a-dire qu'une modification d'un message M en un autre message M' doit provoquer une modification 
de l'entier de condensation c en un autre entier de condensation C. La fonction auxiliaire h doit etre egalement 

40 quasi-biunivoque vis-a-vis du couple forme par l'entier y et le message M. Au sens de la presente invention, 
le caractere quasi-biunivoque de la fonction h signifie que I'on ne peut pas modifier a la fois un message M 
en un message M' et un entier y en un entier y' pour obtenir I'egalite h(y,M)=h(y',M'). 

Lorsque M est un message court c'est-a-dire un message d'une taille inferieure ou egale a 512 bits, on 
peut simplement prendre h(y,M) egal a une partie predeterminee de la fonction OU EXCLUSIF de y et de M 

45 comme par exemple 64 bits du resultat de la fonction OU EXCLUSIF. Cette fonction OU EXCLUSIF sera notee 
**. 

Lorsque M est un message long c'est-a-dire d'une taille superieure a 512 bits, il suff it de prendre la fonction 
auxiliaire h comme etant une partie predeterminee, par exemple 64 bits, d'une fonction de condensation q de 
y et de M. Au sens de la presente invention une fonction de condensation appliquee a un operande d'une taille 
so donnee fournit un condense de cet operande d'une taille reduite. 

Cette fonction de condensation g peut etre une fonction de condensation du type iteratif. Au sens de ta 
presente invention, une fonction de condensation de type iteratif est def inie de la facon suivante : 
si kO est un nombre public de m octets, si I'on considere les variables y et M comme un message de travail N 
a condenser, on divise le message N en L blocs N N|,...N L de m-1 octets. On pose alors 
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Hj_ = (Ni 2 modulo kO) ** Ni 



Hi = (Hi^i ** Ni) 2 modulo kO) ** Ni 



H L 33 < H L-1 ** N L ) 2 modulo kO) ** N L . 
On prend alors g(N) =H L . 

Avec un tel choix pour la fonction g il est facile de voir que si un fraudeur veut modifier par exemple seu- 
lement N, sans modifier le condense, II ne peut y parvenir sans avoir a resoudre des equations de degre 2 
dans Zn. Or te calcul d'une racine carree est impossible si la factorisation de kO n'est pas connue. 

La fonction de condensation g peut egalement comprendre I'utilisation d'un algorithme du type a cle se- 
crete, par exemple DES, en mode boucle communement appele en mode CBC (CIPHER BLOCK CHAINING). 
Ce mode boucle de DES consiste a chiffrer une premiere fois un message a I'aide de ('algorithme DES pour 
obtenir un premier condense puis de considerer le message et le premier condense comme un nouveau mes- 
sage et de faire la meme operation. On reitere I'operation un nombre predetermine de fois et Ton obtient a la 
fin une signature chiffree du message egale au dernier condense obtenu. 

Les premiers moyens de calcul determine nt ensuite dans I'etape 503 un entier z def ini comme etant le 
produit x.b 80 . La signature du message M est alors constitute des entiers y et z et le poste utilisateur PU 
communique a un poste utilisateur frere PU' les entiers y, z, le message M ainsi que rentier ^identification I 
et la cle publique A. II est a noter ici que la communication de rentier d'identif ication I et de ia cle publique A 
est facultative si par exemple les postes utilisateurs appartiennent a un reseau muni d'un annuaire que chacun 
peut consulter. 

Le poste utilisateur frere PU 1 recoit dans I'etape 505 les donnees communiquees a I'etape 504. Ce poste 
utilisateur PU' est equip£ de premiers et seconds moyens de calcul freres analogues aux premiers et seconds 
moyens de calcul du poste utilisateur PU ainsi que le premier et second moyens de memorisation frere ana- 
logues aux premiers et seconds moyens de memorisation du premier poste utilisateur. Dans I'etape 506 les 
seconds moyens de calcul freres determinent rentier de condensation c a partir des donnees recues en cal- 
culant la valeur de la fonction h(y,M), puis dans I'etape 507 determinent un premier entier intermediaire t egal 
au produit y.(AM) c . 

Dans I'etape 508 les premiers moyens de calcul determinent un deuxieme entier intermediaire u egal a 
I'elevation de rentier z a la puissance e. La comparaison des premiers entiers, du premier entier intermediaire 
t et du deuxieme entier intermediaire u determine le caractere correct de la communication du message. En 
effet, d'apres la relation (R) AM est egal a b*- 8 . D'autre part y est egal a x* done le premier entier intermediaire 
t est egal a x e .b e *- c , done est egal a z a la puissance e, done au deuxieme entier intermediaire u. 

Si la comparaison est verif iee on est done assure d'une part de I'integrite du message M, d'autre part de 
I'authentif ication du poste utilisateur origine et enf in de I'appartenance de ce poste utilisateur origine a la sta- 
tion-autorite AUT1 . 

Si la comparaison s'avere fausse, alors soit un message a ete falsif ie par un fraudeur, soit il y a erreur sur 
le poste utilisateur d'origine. 

Dans ce premier mode de fonction nement du dispositif il apparatt que rentier de condensation c doit de- 
pend re de rentier y done du nombre aleatoire x. Si tel n'etait pas le cas un fraudeur pourrait fabriquer une fausse 
signature du message. Pour ce faire les etapes 500, 501, 502 seraient inch angeeset dans I'etape 503 il suffirait 
de choisir z quelconque et de calculer y egal a z e /(A°.l) c . Une telle signature ainsi produite serait valide. De 
plus, ce premier mode de fonction nement garantit I'in teg rite du message car si un fraudeur se fabrique une 
fausse cle secrete sO et prend connaissance de I et de A alors la relation (R) n'est pas verif iee. 

Le nombre de calculs necessaire pour cette premiere variante est de 192 multiplications modulaires alors 
que comparativement dans un dispositif de communication utilisant I'algorithme RSA le nombre de calculs se- 
rait de 768 multiplications modulaires. Les etapes de verification comportent 288 multiplications modulaires. 

II est mainte nant fait reference a la figure 6 pour Dlustrer un deuxieme mode de fonctionnement du dispositif 
selon I'invention. II s'agit egalement d'un mode de signature de message. Dans ce deuxieme mode de fonc- 
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tionnement, les Stapes 600, 601, 602 et 603 sont analogues aux etapes 500 a 503. La signature du message 
n'est cette fois-ci plus const ituee des entiers y et z mais des en tiers de condensation c et de rentier z. Dans 
I'etape 604 on communiquera done au poste utilisateur frere PU' les entiers c, z, le message M et les entiers 
^identification I et la cie publique A. 
5 Le poste utilisateur frere PU' recevant les donnees dans I'etape 605, precede a la succession des etapes 

suivantes : 

- etape 606 : etablissement d'un troisieme en tier intermedia ire t3 egal a (AM) C , 

- etape 607 : etablissement d'un quatrieme entier intermediaire t4 egal a la division de 1 par t3, 

- etape 608 : etablissement d'un cinquieme entier intermediaire t5 egal au produit de t4 par z°, 
10 - etape 609 : determination d'un sixieme entier intermediaire t6 egal a h(t5,M), 

- etape 61 0 : comparaison des entiers t6 et c. Si la comparaison s'avere exacte il y a communication correc- 
te du message, si non il y a anomaiie. 

Ce deuxieme mode de fonctionnement presente un avantage car la signature constitute par z et c est plus 
courte que dans le cas precedent (576 bits au lieu de 1024). Cependant elle necessite d'effectuer une division 

15 ce qui presente un leger inconvenient d'implantation. 

L'homme de I'art comprendra qu'ii est necessaire pour assurer la securite des communications de loger 
les premiers moyens de calcul et ies seconds moyens de memorisation dans I'enceinte de securite ENSE car 
le caractere insoluble de certaines equations repose notamment sur la non-connaissance de x par exemple 
ou de s. Les seconds moyens de calcul et les premiers moyens de memorisation peuvent etre situes en dehors 

20 de cette enceinte de securite par exemple pour des raisons de capacite-memoire. 

II est maintenant fait reference a la figure 7 pour illustrer un troisieme mode de fonctionnement du dispositrf 
seton invention caracteristique d'une mise a la cle entre deux postes utilisateurs d'une meme famille. Ces 
deux postes vont done calculer une cle de chiffrement commune K. 

Les premiers moyens de calcul du poste utilisateur PU generent un nombre aleatoire x de 512 bits etcal- 

25 culent dans I'etape 701 un entier y egal a b\ Dans I'etape 702 le poste utilisateur PU communique au poste 
utilisateur frere PU' rentier y. Ala reception de y par ie poste utilisateur PU' (etape 704) celui-ci determine la 
cle de chiffrement K' egale a (y°>' ou s' designe la cle secrete du poste utilisateur frere PU' analogue a la cle 
secrete s du poste utilisateur PU. 

Parallelement, le poste utilisateur PU, connalt par exemple par 1'interrogation d'un annua ire la cle publique 

30 A' et I'entier d' identification I' du poste utilisateur frere PU\ Les premiers moyens de calcul determine nt done 
dans I'etape 703 la cle de chiffrement K = (A' e .l') x . 

On verif ie aisement que les entiers K et K' sont egaux et constituent done bien la cle de chiffrement K 
entre les deux postes utilisateurs. Ainsi, rentier y communique par le poste utilisateur PU constitue une pre- 
miere partie de la cle de chiffrement K, les premiers moyens de calcul freres determinant la total ite de la cle 

35 de chiffrement K ainsi que les premiers moyens de calcul du poste utilisateur PU. La cle de chiffrement K est 
variable grace a I'atea x mis en jeu par le poste utilisateur PU et peut done etre utilisee effectivement comme 
cle de travail dans une session ulterieure. La cle K, qui est choisie par le poste utilisateur PU ne peut etre connue 
que du poste utilisateur frere PU' car cette procedure de mise a la cle est basee sur la connaissance par le 
poste utilisateur frere PU' seul du secret s\ Un fraudeur prenant connaissance des entiers I et y peut obtenir 

40 b a la puissance e.x mais pas e.x ni x puisque cette equation est quasiment insoluble au sens de la presente 
invention. Apres la mise a la cle, le poste utilisateur PU peut done authentif ier le poste utilisateur frere PU' en 
utilisant la cle de chiffrement K et un algorithme symetrique quelconque. Par contre le poste utilisateur frere 
PU' ne peut pas authentif ier Ie poste utilisateur PU puisque cette procedure n'utilise aucun secret relatif au 
poste utilisateur PU. II faut done si i'on souhaite cette authentication supplemental rajouter une procedure 

45 de signature telle que cede decrite dans les premier ou deuxieme modes de fonctionnement decrits ci-avant 
ou bien, utiliser cette procedure de mise a la cle dans les deux sens, la cle choisie f inalement etant une combi- 
naison des deux demt-cles choisies respectivement par les postes utilisateurs PU et PU'. 

L'homme de I'art a remarque que les trois modes de fonctionnement decrits ci-avant ne necessite nt pas 
de connexion proprement dite entre les postes utilisateurs ce qui peut etre particulierement avantageux. De 

so plus, il n'est pas possible avec les d if fe rents moyens du dispositrf selon I'invention d'effectuer un chiffrement 
de message complet tel qu'ii pourrait etre realist par un algorithme DES ou RSA. Les differents moyens du 
disposttif permettent seulement eventuellement de generer par le mode de "mise a la cle" une cle de chiffre- 
ment utilisabte avec par exemple I'algorithme DES. 

L'homme de I'art a en outre remarque que les trois modes de fonctionnement decrits ci-avant ne fonction- 

55 nent que si les postes utilisateurs font appel a une meme station-autorite. En effet les calculs sont fait dans 
chaque poste utilisateur avec les memes constantes e, n, b. Cependant, dans le cas de grands dispositifs de 
communication il est possible d'avoir des autorites multiples supervisant plusieurs families de postes utilisa- 
teurs. Un tel cas est illustre sur la figure 8 ou I'on a suppose que I'on a une premiere station-autorite AUT1 

9 



EP 0 346 180 B1 



supervisant une premiere famille FAM1 de postes utilisateurs PU, PU' et une deuxieme station-autorite AUT2 
supervisant une deuxieme famille de postes utilisateurs PU2 et PU2\ La premiere station-autorite delivrent 
les entiers e, n et b tandis que la deuxieme station-autorite delivre les entiers freres e2, n2 et b2. 

Lorsqu'un poste utilisateur PU de ta premiere famille FAM1 desire communiquer avec un poste utilisateur 
5 PU2 de la deuxieme famille FAM2 chacun des deux postes doit connaTtre les constantes e, n et b correspon- 
dantes delivrees par la station-autorite de I'autre poste utilisateur. II est alors necessaire que, prealablement 
a toute communication entre deux postes utilisateurs de deux families d if fe rentes, la premiere station-autorite 
ait communique a ta deuxieme station-autorite, de facon secrete, la signature S enb , d'un message Me2n2b2 
dependant des entiers e2, n2 et b2 obtenue a I'aide des entiers e, n et b. II est egalement necessaire que la 
10 deuxieme autorite ait communique a la premiere autortte la signature S e2n 2b2 d'un message Menb d6pendant 
des entiers e, n, b obtenue a I'aide des entiers e2, n2, b2. 

La communication entre deux postes utilisateurs appartenant respect iv erne nt a la premiere et a la deuxie- 
me families peut alors s'effectuer et est illustree sur la figure 9. 

Dans I'etape 900 le poste utilisateur PU envoie au poste utilisateur PU2 les entiers e, n, b ainsi que la si- 
rs gnature S^n^ du message Menb. Le poste utilisateur PU envoie ensuite son message M ainsi que la signature 
de ce message M a I'aide des entiers e, n et b. Dans I'etape 901, le poste utilisateur PU2 recoit toutes ces 
donnees et verrf ie tout d'abord que la signature S e2n 2b2 du message Menb est correcte. Si tel n'est pas le cas 
alors il y a anomalie d'autorite et le message est rejete 6 tape 903 si par contre cette signature est correcte 
alors le poste utilisateur PU2 connaissant les entiers e, n et b est capable de verifier la signature du message 
20 M dans Tetape 904 et de determiner si cette communication est correcte (etape 905). 

Bien entendu les moyens de signature des messages Menb et Me2n2b2 peuvent etre indrfferemment ceux 
decrits dans les premier et deuxieme modes de fonctionnement du dispositrf. De meme, on peut etendre ce 
schema a plusieurs stations-autorites par des verifications en cascade des drfferentes constantes e, n et b 
communiquees. 

25 L'invention peut comporter des variantes, notamment les survantes : 

- on a vu precedemment que I'enceinte de securite ENSE contenait uniquement les premiers moyens de 
calcul, les seconds moyens de memorisation ainsi que les moyens de generation d'un nombre aleatoire. 
Ceci etatt la condition minimale requise pour assurer te concept de communication securisee. On peut tres 
bien envisager pour des raisons pratiques de regrouper tous les moyens de calcul et/ou tous les moyens 

30 de memorisation dans I'enceinte de securite ENSE; 

- on peut egalement envisager que la station-autorite soit un poste utilisateur lui-meme pourvu des moyens 
de traitement supplemental res dans le cas ou ceux-ci seraient suf f isamment puissants et peu encombrants 
pour etre loges dans un poste utilisateur. 

- Les entiers d'identif ication I, auxiliaire A peuvent egalement etre memorises dans les premiers moyens 
35 de memorisation. De meme, bien qu'il ne soit pas necessaire de memoriser rentier d'authentif ication V, 

on pour rait envisager de le fa ire dans les seconds moyens de memorisation. 

Bien entendu certains des moyens decrits ci-dessus peuvent etre omis dans les variantes ou iis ne servent 
pas. Ainsi, les seconds moyens de calcul peuvent ne pas etre notamment implantes dans le poste utilisateur 
si la variante de mise a la cle estseule utilisee. De meme, on pourrait envisager que seuls les premiers moyens 
40 de calcul freres soient aptes a effectuer ('operation division puisque cette operation n'intervient que dans la 
verification de la signature d'un message. 

Enfin les exemples de tallies des differents entiers mis en jeu (512 bits pour x, 64 bits pour c.) ne sont 
bien sOr nullement limitatifs. 

45 

Revendlcatlons 

1. Dispositrf de communication, comprenant un poste utilisateur (PU) muni de moyens de traitement (MT) 
comportant : 

so - des premiers moyens de memorisation (MM1) pour memoriser un entier premier e ainsi qu'un entier 

de travail n, cet entier de travail etant de tres grande taille et egal au produit de deux entiers premiers 
petq, 

- des premiers moyens de calcul (MC1 ) sur I'ensemble Zn des nombres entiers modulo rentier de travail 
n, ces premiers moyens de calcul etant aptes a effectuer des operations internes dans cet ensemble 
55 telle qu'une premiere operation dite produit et une deuxieme operation dite elevation a la puissance, 

lesdits premiers moyens de calcul etant propres au chiffrement de donnees, a I'aide d'un entier 
d'authentif ication V propre au poste utilisateur (PU) et determinable a partir de rentier premier e sous 
reserve de connaTtre la factorisation de n en produit de p et q, 
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caracterise en ce que te reste de la division du produit (p-1).(q-l) par rentier e est different de 0, 

- en ce que les premiers moyens de memorisation (MM1) sont propres k m6moriser un entier choisi b 
tel que b modulo p soit g6n6rateur de ('ensemble Zp* des entiers modulo p non nuls et tel que b modulo 
q sort g£n£rateur de I'ensemble Zq* des entiers modulo q non nuls, 

5 - en ce que le poste utilisateur (PU) comporte en outre des seconds moyens de memorisation (MM2) 

propres k memoriser un entier s de grande taille propre au poste utilisateur (PU), 

- eten ce que lesdits premiers moyens de calcul (MC1) sont propres k etablir un nombre entier auxiliaire 
A d6f ini comme etant le produit de V par rentier b eiev6 k la puissance s, 

ce qui permet au poste utilisateur (PU) de communiquer rentier auxiliaire A af in de s'authenttf ier 
10 sans que cette communication permette de determiner la valeur d'authentrf ication V. 

2. Dispositrf selon la revendication 1 , caracterise en ce que le poste utilisateur (PU) comprend une enceinte 
de s6curite (ENSE) k I'interieur de laquelle sont situes au moins les premiers moyens de calcul (MCI) et 
les seconds moyens de memorisation (MM2). 

15 

3. Dispositrf selon rune des revendications 1 et 2 t caract6ris6 en ce qu'il comprend des moyens de traitement 
supplementaires (MTS), aptes k g6n6rer les deux entiers premiers de factorisation p et q, pour etablir ren- 
tier de travail n, ainsi que les entiers e et b, 

en ce que les moyens de traitement supplementaires (MTS) sont aptes k effectuer I'operation in- 
20 verse, dite racine, de ladite deuxi6me operation et I'operation inverse dite division de ladite premiere ope- 

ration, 

et en ce que les moyens de traitement supplementaires sont propres k determiner rentier d'aut hen- 
t if ication V k partir d'un entier d'identification I propre au poste utilisateur, V etant egal k la division de 
rentier 1 par la racine e-ieme de I. 

25 

4. Dispositif selon la revendication 3, caracterise en ce que rentier d'identification I est different d'un multiple 
d'un entier k, different de 1, 6lev6 a la puissance e. 

5. Dispositif selon la revendication 4 t caracterise en ce que le poste utilisateur comporte en outre des 
moyens de generation (MG) d'un entier aieatoire x situ£ k I'interieur de I'enceinte de s£curit6 (ENSE). 

30 

6. Dispositif selon la revendication 5, caracterise en ce que rentier aieatoire x est de tres grande taille. 

7. Dispositif selon la revendication 5 ou 6, caracterise en ce que les premiers moyens de memorisation sont 
propres k memoriser des informations d6f inissant une fonction auxiliaire h k deux variables y1 et y2, 

35 en ce que le poste utilisateur comprend des seconds moyens de calcul (MC2) sur I'ensemble des 

nombres entiers modulo n propres k etablir un entier de condensation c, tel que le reste de la division de 
c par e soit different de 0, et def ini comme etant la valeur de la fonction h, avec pour premiere variable 
y1 un entier y dependant de rentier aieatoire x et avec pour deuxi&me variables y2 un message M, la fonc- 
tion auxiliaire h etant alors depourvue d'ambiguite vis-d-vis du message M et quasi-biunivoque vis-£-vis 

40 du couple forme par rentier y et le message M. 

8. Dispositif selon la revendication 7, caracterise en ce que la taille de rentier de condensation c est infe- 
rieure k la taille de rentier e. 

45 9. Dispositif selon I'une des revendications 7 et 8 t caracterise en ce que rentier y est reievation de x k la 
puissance e. 

10. Dispositif selon I'une des revendications 7 & 9, caracterise en ce que les premiers moyens de calcul sont 
propres k etablir un entier z def ini comme etant le produit de x par rentier b 6lev6 k la puissance s.c. 

50 11. Dispositrf selon la revendication 10, caracterise en ce que les deux entiers y etz constituent une premiere 
signature ch if free du message M. 

12. Dispositrf selon la revendication 10, caracterise en ce que les deux entiers z et c constituent une deuxieme 
signature chiffr£e du message M. 

55 

13. Dispositif selon I'une des revendications precedentes, caracterise en ce qu'il comprend un poste utilisa- 
teur frere comportant des premiers moyens de calcul freres analogues aux premiers moyens de calcul 
ainsi que des premier et second moyens de memorisation freres analogues aux premiers et seconds 
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moyens de memorisation, 

et en ce que lesdits premiers moyens de memorisation freres contiennent les entiers e, n, b. 

14. D is pos it if selon les revendications 11 et 13, caracterise en ce que le poste utifisateur fr6re comporte des 
5 seconds moyens de calcul freres analogues aux seconds moyens de calcul, 

en ce que les entiers I, A, le message M et la signature chiffree sont communiques a ce poste uti- 
lisateur frere, 

en ce que les seconds moyens de calcul freres sont propres a determiner rentier c par la relation 
c=h(y,M), 

10 et en ce que les premiers moyens de calcul freres sont propres a etablir un premier entier inter- 

mediaire 1 egal a y,(A e .l) c et un second entier intermediate u egal a I'eievation de z a la puissance e, puis 
sont propres a comparer les premiers etdeuxiemes entiers intermediates t et u, le resultat de cette compa- 
raison permettant de determiner le caractere correct de la communication du message M. 



15 



20 



15. D is pos it if selon les revendications 12 et 13, caracterise en ce que les premiers moyens de calcul freres 
sont aptes a effectuerl'operation inverse de la premiere operation, dite division etsont propres a effectuer 
la succession des 6 tapes suivantes : 

a) determination d'un troisieme entier intermediate t3 egal a I'eievation a la puissance c du produit 
AM, 

b) determination d'un quatri6me entier intermediaire t4 egal a la division de 1 par t3, 

c) determination d'un cinquieme entier intermediaire t5 egal au produit de rentier z 6lev6 a la puissance 
e par rentier intermediaire t4, 

d) determination d'un sixieme entier intermediaire t6 egal a la valeur de la fonction auxiliaire h dans 
laquelle la premiere variable y1 est egale a rentier t5 et dans laquelle la seconde variable y2 est 6gale 

25 au message M, 

e) comparaison de rentier t6 avec rentier de condensation c, le resultat de cette comparaison permet- 
tant de determiner le caractere correct de la communication du message. 



30 



16. Dispositif selon rune des revendications 7 a 1 5, caracterise en ce que la fonction auxiliaire h est une partie 
predeterminee de la fonction OU EXCLUSIF des deux variables y1 et y2. 

17. Dispositif selon I'une des revendications 7 a 1 5, caracterise en ce que la fonction auxiliaire h est une partie 
predeterminee d'une fonction de condensation g des deux variables y1 et y2. 

18. Dispositif selon la revendication 17, caracterise en ce que la fonction g est une fonction de condensation 
35 de type iteratif. 

19. Dispositif selon la revendication 17, caracterise en ce que la fonction de condensation g com pre nd ('uti- 
lisation d'un algorithme du type a cie secrete en mode boucie. 

40 20. Dispositif selon I'une des revendications 5 a 20, prises en combinaison avec la revendication 13, carac- 
terise en ce que les premiers moyens de calcul sont propres a etablir une premiere partie d'une de de 
chiffrement dependant de rentier aieatoire x, cette premiere partie etant communiqu6e au poste utilisateur 
frere (PLC), les premiers moyens de calcul freres etant alors propres a etablir a partir de ladite premiere 
partie et de rentier s', firere de rentier s, contenu dans les seconds moyens de memorisation freres, la 

45 total ite de ladite cie de chiffrement. 

21. Dispositif selon la revendication 20, caracterise en ce que la premiere partie de la cie de chiffrement est 
egale a rentier b eieve a la puissance x. 



so 



55 



22. Dispositif selon la revendication 21 , caracterise en ce que la cie de chiffrement est egale a I 'elevation a 
la puissance e.s' de ladite premiere partie. 

23. Dispositif selon I'une des revendications 20 a 22, caracterise en ce que les premiers moyens de calcul 
deter minent egalement la cie de chiffrement a partir de rentier aieatoire x, des entiers auxiliaires A' et 
d'identif ication I' du poste utilisateur firere. 

24. Dispositif selon la revendication 23, caracterise en ce que la cie de chiffrement est egale a I'eievation a 
la puissance x du produit A'°.l\ 
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25. Dispositif selon Tune des revendications 3 a 23, caracterise en ce qu'il comporte une premiere station- 
autorite (AUT1) comprenant lesdits moyens de trartement supplementaires (MTS) et communiquant les 
entiers e, n, b a une premiere famille (FAM1) de postes utilisateurs. 

26. Dispositrf selon la revendication 25, caracterise en ce qu'il comporte une deuxieme station-autorite 
(AUT2) comprenant des moyens de traitement supplementaires freres et communiquant des entiers freres 
e2, n2, b2 a une deuxieme famille (FAM2) de postes utilisateurs. 

27. Dispositif selon les revendications 25 et 26 prises en combinaison, caracterise en ce que la premiere sta- 
tion-autorite communique a la deuxieme station-autorite une signature d'un message particulier depen- 
dant des entiers e2, n2, b2, obtenue a I'aide des entiers e, n, b, et en ce que la deuxieme station-autorite 
communique a la premiere station-autorite une signature d'un message particulier dependant des entiers 
e, n, b, obtenue a I'aide des entiers e2, n2, b2. 

28. Dispositif selon Tune des revendications 5 a 27, caracterise en ce que la taille de rentier aleatoire x est 
de 512 bits. 

29. Dispositif selon Tune des revendications precedentes, caracterise en ce que la taille de rentier n est de 
512 bits. 



20 30. Dispositif selon I'une des revendications precedentes, caracterise en ce que la taille de rentier premier 
e est de 65 bits. 

31. Dispositif selon les revendications 7 et 30, caracterise en ce que la taille de rentier de condensation c 
est de 64 bits. 



25 



30 



35 



40 



45 



50 



55 



32. Dispositif selon I'une des revendications precedentes, caracterise en ce que la taille de rentier b est de 
512 bits. 

33. Dispositif selon I'une des revendications precedentes, caracterise en ce que la taille de rentier s est de 
64 bits. 

34. Dispositif selon I'une des revendications precedentes, caracterise en ce que, pour effectuer la premiere 
operation, dite produit, du type F.B. modulo n, F et B ayant des vateurs entires representees par des 
mots numeriques de nb bits, les premiers moyens de calcul effectuent la succession des etapes suivan- 
tes: 

a) fractionnement de la variable F en J+1 mots de tb bits, F 0 , F|, Fj, tb etant un entier predeter- 
mine et J+1 un entier 6gal ou immediatement superieur au rapport nb/tb, 

b) multiplication par la variable B de chacun des mots F|, ou i est un entier compris entre 0 et J, 

c) addition au produit de cette multiplication d'un mot numerique de somme T de valeur 6gale a la som- 
me cumuiee des produits anterieurs reduite modulo n, la reduction modulo n du mot de somme T etant 
realisee en lui soustrayant une quantite d|.n, d ( etant un mot numerique constitue des tb+1 bits de poids 
fort du mot de somme T, a chaque fois que le mot de somme T atteint une valeur superieure ou egale 
a ladite quantite dj.n. 

35. Dispositif selon la revendication 34, caracterise en ce que les premiers moyens de calcul comprennent 
des moyens de memorisation auxiliaires pour m6moriser les informations definissantl'exponentiation mo- 
dulo n d'un mot numerique, des moyens de calcul auxiliaires pour effectuer des operations du type T±r.n, 
ou r est un mot numerique F| ou d It et des moyens de commando de ces moyens de memorisation et de 
ces moyens de calcul auxiliaires. 



Patentanspruche 

1. Nachrichtentechnische Vorrichtung mit einer Benutzerstation (PU) mit einer Verarbeitungseinrichtung 
(MT), welche folgendes aufweist 
- erste Speichereinrichtungen (MM1) zum Speichern einer ersten ganzen Zahl e sowie einer ganzzah- 
ligen Arbeitszahl n, wobei diese ganzzahlige Arbeitszahl sehr groR und gleich dem Produkt aus zwei 
ersten ganzen Zahl en p und q ist t 
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- erste Recheneinrichtungen (MC1 ) fur die Gesamtmenge Zn von ganzen Zahlen modulo die ganzzah- 
tige Arbeitszahl n, wobei diese ersten Recheneinrichtungen ausgelegt sind, um interne Operationen in 
dieser Gesamtmenge auszufuhren, beispielsweise eine erste Operation, namlich eine Multiplikation, 
und eine zweite Operation, namlich eine Potenzierung, wobei die ersten Recheneinrichtungen zur Chrf- 
frierung von Daten mit Hilfe einer ganzzahligen Authentizitatszahl V geeignet sind, die zu der Benut- 
zerstation (PU) gehdrt und aus der ersten ganzen Zaht e unter der Voraussetzung der Kenntnis der 
Zertegung von n in Faktoren als Produkt aus p und q bestimmbar ist, 

dadurch gekennzeichnet, 

- daft der Rest aus der Division des Produkts (p-1)(q-1) durch die ganze Zahl e von Null verschieden 
ist, 

- daft die ersten Speichereinrichtungen (MM1) sich zur Speicherung einer gewahlten ganzen Zahl b in 
der Weise eignen, daft b modulo p ein Generator fur die Gesamtmenge Zp* von ganzen Zahlen modulo 
p ist, die nicht Null sind, und daft b modulo q ein Generator fur die Gesamtmenge Zq* von ganzen Zah- 
len modulo q ist, die nicht Null sind, 

- daft die Benutzerstation (PU) aufterdem zweite Speichereinrichtungen (MM2) aufweist, die sich zur 
Speicherung einer sehr groften ganzen Zahl s eignen, die zu der Benutzerstation (PU) gehdrt, 

- und daft die ersten Recheneinrichtungen (MC1) sich dazu eignen, eine ganzzahlige Hilfszahl A zu bil- 
den, welche als das Produkt aus V und der ganzen Zahl b in der s-ten Potenz def iniert ist, 

so daft es mogfich ist, daft die Benutzerstation (PU) die ganzzahlige Hilfszahl A zum Nachweis ihrer Au- 
thentizitat ubertragen kann, ohne daft diese Ubertragung die Bestimmung des Authentizitatswerts V ge- 
stattet. 

Vorrichtung nach Anspruch 1, 
dadurch gekennzeichnet, 

daft die Benutzerstation (PU) einen Sicherheitsbereich (ENSE) aufweist, innerhalb dessen sich zumin- 
dest die ersten Recheneinrichtungen (MC1) und die zweiten Speichereinrichtungen (MM2) befinden. 

Vorrichtung nach einem der Anspruche 1 und 2, 
dadurch gekennzeichnet, 

daft sie zusatzliche Verarbeitungseinrichtungen (MTS) aufweist, welche geeignet sind, die beiden ersten 
ganzen Zahlen zur Faktorenzerlegung p und q zu erzeugen, um die ganzzahlige Arbeitszahl n sowie die 
ganzen Zahlen e und b zu erzeugen, 

daft die zusStzlichen Verarbeitungseinrichtungen (MTS) geeignet sind, die inverse Operation, namlich die 
Wurzelbildung, der zweiten Operation und die zur ersten Operation inverse Operation der Division vor- 
zunehmen, und daft die zusatziichen Verarbeitungseinrichtungen geeignet sind, um die ganzzahlige Au- 
thentizitatszahl V aus einer der Benutzerstation eigenen ganzzahligen Identif izierungszahl I zu bestim- 
men, die zu der Benutzerstation gehdrt, wobei V gleich der Division der ganzen Zahl 1 durch die e-te Wur- 
zel aus [ ist. 

Vorrichtung nach Anspruch 3, 
dadurch gekennzeichnet, 

daft die ganzzahlige Identrfizierungszahl \ von einem VI elf ache n einer ganzen Zahl k, die nicht gleich 1 
ist, in der e-ten Potenz verschieden ist. 

Vorrichtung nach Anspruch 4, 
dadurch gekennzeichnet, 

daft die Benutzerstation daru berhinaus Einrichtungen (MG) zum Erzeugen einer ganzzahligen Zufallszahl 
x aufweist, die sich innerhalb des Sicherheitsbereichs (ENSE) befindet 

Vorrichtung nach Anspruch 5, 

dadurch gekennzeichnet, 

daft die ganzzahlige Zufallszahl x sehr graft ist. 

Vorrichtung nach Anspruch 5 oder 6, 
dadurch gekennzeichnet, 

daft die ersten Speichereinrichtungen geeignet sind, um Informationen zu speichern, welche eine Hilfs- 
funktion h mit zwei Variablen y1 und y2 def inieren, 

und daft die Benutzerstation zweite Recheneinrichtungen (MC2) fur die Gesamtmenge von ganzen Zah- 
len modulo n aufweist, die sich zur Bildung einer ganzzahligen Kompressionszahl c in der Weise eignen, 
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daft der Rest aus der Division von c durch e nicht 0 tst und als der Wert der Funktion h def iniert wird, die 
bei der ersten Variablen y1 eine ganze Zahl y ergibt, die von der ganzzahiigen Hilfszahl x abhSngig ist, 
und die bei der zweiten Variablen y2 eine Nachricht M ergibt, wobei die Hilfefunktion h nun gegenuber der 
Nachricht M keine Doppeldeutigkeit aufweist und gegenuber dem Paar aus der ganzen Zahl y und der 
Nachricht Mquasi-eineindeutig ist. 

Vorrichtung nach Anspruch 7, 
dadurch gekennzeichnet, 

daft die Gr6fte der ganzzahiigen Kompressionszahl c kleiner als die Grofte der ganzen Zahl e ist. 



10 



15 



20 



9. Vorrichtung nach einem der Anspruche 7 und 8, 
dadurch gekennzeichnet, 

dad die ganze Zahl y gleich dem Wert von x in der e-ten Potenz ist. 

10. Vorrichtung nach einem der Anspruche 7 bis 9, 
dadurch gekennzeichnet, 

dad die ersten Recheneinrichtungen gee ig net sind, eine ganze Zahl z zu bilden, die als das Produkt aus 
x und der ganzen Zahl b potenziert mit s-c def iniert ist 

1 1 . Vorrichtung nach Anspruch 1 0, 
dadurch gekennzeichnet, 

daft die beiden ganzen Zahlen y und z eine erste chiffrierte Kennung der Nachricht M bilden. 

12. Vorrichtung nach Anspruch 10, 
dadurch gekennzeichnet, 

25 daft die beiden ganzen Zahlen z und c eine zweite chiffrierte Kennung der Nachricht M bilden. 

13. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

daft sie eine Zwillings-Benutzerstation aufweist, welche erste Zwillings- Recheneinrichtungen analog zu 
30 den ersten Recheneinrichtungen sowie erste und zweite Zwillings-Speichereinrichtungen analog zu den 

ersten und zweiten Speichereinrichtungen aufweist, 

und daft die ersten Zwillings-Recheneinrichtungen die ganzen Zahlen e, n, b enthalten. 

14. Vorrichtung nach den Anspruchen 11 und 13, 
35 dadurch gekennzeichnet, 

daft die Zwillings-Benutzerstation zweite Zwillings-Recheneinrichtungen analog zu den zweiten Rechen- 
einrichtungen aufweist, 

daft die ganzen Zahlen [ und A, die Nachricht M und die chiffrierte Kennung an diese Zwillings-Benut- 
zerstation ubermittelt werden, 

40 daft die zweiten Zwillings-Recheneinrichtungen die ganze Zahl c durch die Beziehung c = h(y,M) bestim- 

men kfinnen, und daft die ersten Zwillings-Recheneinrichtungen geeignet sind, eine erste ganzzahlige 
Zwischenzahl t gleich y*(A°*l) c und eine zweite ganzzahlige Zwischenzahl u gleich z in der e-ten Potenz 
zu bilden, und weiterhin geeignet sind, die ersten und zweiten ganzzahiigen Zwischenzahlen t und u mit- 
einander zu vergleichen, wobei das Ergebnis dieses Vergleichs die Bestimmung der Richtigkeit der Uber- 

45 mittlung der Nachricht M gestattet 

15. Vorrichtung nach den Anspruchen 12 und 13, 
dadurch gekennzeichnet, 

daft die ersten Zwillings-Recheneinrichtungen geeignet sind, die zur ersten Operation inverse Operation 
50 der Division auszufuhren und nacheinander die folgenden Schritte vorzunehmen: 

a) Bestimmung einer dritten ganzzahiigen Zwischenzahl t3 gleich c potenziert mit dem Produkt A« l, 

b) Bestimmung einer vierten ganzzahiigen Zwischenzahl t4 gleich der Division von 1 durch t3, 

c) Bestimmung einer funf ten ganzzahiigen Zwischenzahl t5 gleich dem Produkt aus der ganzen Zahl 
z in der e-ten Potenz und der ganzzahiigen Zwischenzahl t4, 

55 d) Bestimmung einer sechsten ganzzahiigen Zwischenzahl t6 gleich dem Wert der Hilfsfunktion h, bei 

welcher die erste Variable y1 gleich der ganzen Zahl t5 ist und bei welcher die zweite Variable y2 gleich 
der Nachricht M ist, 

e) Vergleich der ganzen Zahl t6 mit der ganzzahiigen Kompressionszahl c, wobei das Ergebnis dieses 
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Vergleichs die Bestimmung der Richtigkeit der Obermittlung der Nachricht gestatteL 

16. Vorrichtung nach einem der Anspruche 7 bis 1 5, 
dadurch gekennzeichnet, 

5 daft die Hilfsfunktion h ein vorgegebener Teil der exkiusiven ODER-Funktbn der beiden Variablen y1 und 

y2 isL 

1 7. Vorrichtung nach einem der Anspruche 7 bis 1 5, 
dadurch gekennzeichnet 

10 daft die Hilfsfunktion h eln vorgegebener Teil einer Kompressionsfunktion g der beiden Variablen y1 und 

y2 ist 

18. Vorrichtung nach Anspruch 17, 
dadurch gekennzeichnet, 

dad die Funktion g eine Funktion der iterative n Kompression ist 

15 

19. Vorrichtung nach Anspruch 17, 
dadurch gekennzeichnet, 

daft die Kompressionsfunktion g die Verwendung eines Algorithm us in der Art eines Geheimschlussels 
im Schleifenmodus umfaftt 

20 

20. Vorrichtung nach einem der Anspruche 5 bis 19 in Verbindung mit Anspruch 13, 
dadurch gekennzeichnet, 

dad die ersten Recheneinrichtungen geeignet sind, einen ersten Teil eines Chiffrierschlussels in Abhin- 
gigkeit von der ganzzahtigen Zufallszahl x zu bilden, wobei dieser erste Teil an die Zwillings-Benutzers- 
25 tation (PL)') ubermittelt wird, und wobei die ersten Zwillings-Recheneinrichtungen dann geeignet sind, aus 

diesem ersten Teil und der ganzen Zahl s', die der ganzen Zahl s entspricht und in den zwetten Zwiliings- 
Speichereinrichtungen enthalten ist, diesen Chiffrierschtussel insgesamtzu bilden. 

21. Vorrichtung nach Anspruch 20, 
30 dadurch gekennzeichnet, 

dad der erste Teil des Chiffrierschlussels gleich der ganzen Zahl b in derx-ten Potenz ist. 

22. Vorrichtung nach Anspruch 21, 
dadurch gekennzeichnet, 

35 daft der Chiffrierschtussel gleich dem ersten Teil potenziert mit es' ist. 



23. Vorrichtung nach einem der Anspruche 20 bis 22, 
dadurch gekennzeichnet, 

daft die ersten Recheneinrichtungen auch den Chiffrierschlussel aus der ganzzahligen Zufallszahl x, den 
40 ganzzahligen Hilfszahlen A' und der Identif izierung I' der Zwillings-Benutzerstation bestimmen. 

24. Vorrichtung nach Anspruch 23, 
dadurch gekennzeichnet, 

daft der Chiffrierschtussel gleich x potenziert mit dem Produkt A'» r ist. 

45 25. Vorrichtung nach einem der Anspruche 3 bis 23, 
dadurch gekennzeichnet, 

daft sie eine erste ubergeordnete Station (AUT1) aufweist, welche die zusitzlichen Verarbeitungseinrich- 
tungen (MTS) enthMIt und die ganzen Zahlen e, n, b an eine zweite Gruppe (FAM1) von Benutzerstationen 
ubermittelt. 

so 

26. Vorrichtung nach Anspruch 25, 
dadurch gekennzeichnet, 

daft sie eine zweite ubergeordnete Station (AUT2) aufweist, welche zusatzliche Zwillings-Verarbeitungs- 
einrichtungen enthfilt und die ganzzahlige ZwOlingszahlen e2, n2, b2 an eine zweite Gruppe (FAM2) von 
55 Benutzerstationen ubermittelt. 



27. Vorrichtung nach den Anspruchen 25 und 26 in Kombination, 
dadurch gekennzeichnet, 
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daft die erste ubergeordnete Station an die zweite ubergeordnete Station eine Kennung fur eine beson- 
dere Nachricht in Abhangigkeit von den ganzen Zahien e2, n2, b2 ubermittelt, die mit Hilfe der ganzen 
Zahlen e, n, b erhalten wurden, 

und da& die zweite ubergeordnete Station an die erste ubergeordnete Station eine Kennung fur eine be- 
5 stimmte Nachricht in AbhSngigkeit von den ganzen Zahlen e, n, b ubermittelt, die mit Hilfe der ganzen 

Zahlen e2, n2, b2 erhalten wurden. 

28. Vorrichtung nach einem der Anspruche 5 bis 27, 
dadurch gekennzeichnet, 

10 da& die Grd&e der ganzzahligen Zufallszahl x 512 Bit betragt 

29. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

daft die Grd&e der ganzen Zahl n 512 Bit betragt 

30. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dad die Grd&e der ersten ganzen Zahl e 65 Bit betragt. 

31. Vorrichtung nach den Anspruche n 7 und 30, 
dadurch gekennzeichnet, 

da& die Grd&e der ganzzahligen Kompressionszahl c 64 Bit betrfigt 
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32. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

25 dad die Grd&e der ganzen Zahl b 512 Bit betragt. 

33. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

da& die Grd&e der ganzen Zahl s 64 Bit betragt 

30 

34. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

da& zur Ausfuhrung der ersten Operation, nSmlich der Multiplication vom Typ F B modulo n, wobei F und 
B ganzzahlige Werte aufweisen, die durch die digitalen Wdrter von nb Bit reprasentiert werden, die ersten 
35 Recheneinrichtungen nacheinander die foigenden Schritte ausfuhren: 

a) ZerlegungderVariablenFin J+1 Wdrter zutb Bits, F 0 , F h ... Fj, wobei tb eine vorgegebene ganze 
Zahl ist und j+1 eine ganze Zahl ist, die gleich dem VerhSltnis von nb/tb ist oder unmittelbar darflber 
liegt, 

b) Multiplikation jedes Wortes F| mit der Variablen B, wobei i eine ganze Zahl zwischen 0 und J ist, 
40 c) Addition eines digitalen Wortes mit dem Wert T, wobei dieser Wert gleich der kumulierten Summe 

dervorherigen Produkte reduziert modulo n ist, zum Produkt dieser Multiplikation, wobei die Reduktion 
modulo n des Wortes mit der Summe T dadurch erfolgt, da& von dieser eine Grd&e d r n abgezogen 
wird, wobei d| ein digitales Wort ist, das aus den hdchstwertigen tb+1 Bits des Wortes mit der Summe 
T besteht, sobald das Wort mit der Summe T einen Wert erreicht, der grd&er als der oder gleich dem 
45 Wert von d r n ist 

35. Vorrichtung nach Anspruch 34, 
dadurch gekennzeichnet, 

da& die ersten Recheneinrichtungen Hilfsspeichereinrichtungen zum Speichern der Informationen, wel- 
che die Exponentenbildung modulo n eines digitalen Wortes def inieren, sowie Hilfsrecheneinrichtungen 
zur Ausfuhrung von Operationen vom Typ T±rn, wobei r ein digitales Wort F| bzw. d| ist, und Ein rich tungen 
zur Steuerung dieser Hilfsspeichereinrichtungen und Hilfsrecheneinrichtungen aufweisen. 
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1. Communication device, containing a user station (PU) provided with processing means (MT) comprising: 
- first storage means (MM1) for storing a first integer e and an operating integer n, this operating integer 
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being of very large magnitude and equal to the product of the two first integers p and q, 

- first calculation means (MC1) for the set Zn of integers modulo the operating integer n, these first 
calculation means being capable of carrying out internal operations in this set, such that a first oper- 
ation, the so-called product, and a second operation, the so-called exponentiation, the said first cat- 

5 culation means being designed for data coding, with the aid of a validation integer V peculiar to the 

first user station (PU) and which may be determined from the first integer e, subject to knowing the 
factorization of n as a product of p and q, 

characterised in that the remainder of the division of the product (p-1) . (q-1) by the integer e is 
other than 0, 

10 - in that the first storage means (MM1 ) are designed for the storage of a chosen integer b such that b 

modulo p is the generator of the set Zp* of the non-zero integers modulo p and such that b modulo q 
is generator of the set Zq* of the non-zero integers modulo q, 

- in that the user station (PU) further comprises second storage means (MM 2) designed for the storage 
of an integer s of large magnitude peculiar to the user station (PU), 

15 - and that the said first calculation means (MC1) are designed for the generation of an auxiliary whole 

number A defined as being the product of V and the integer b raised to the power s, which enables the 
user station (PU) to communicate the auxiliary integer A in order to validate itself without this commu- 
nication allowing the validation value V to be determined. 

20 2. Device according to claim 1 , characterised in that the user station (PU) contains a security cabinet (ENSE) 
inside which are housed at least the first calculation means (MC1 ) and the second storage means (MM2). 

3. Device according to one of the claims 1 and 2, characterised in that it contains supplementary processing 
means (MTS) capable of generating the two first factorization integers p and q, to establish the operating 

25 integer n and the integers e and b, 

in that the supplementary processing means (MTS) are capable of implementing the inverse op- 
eration, that is the root, of the said second operation and the inverse operation, that is the division of the 
said first operation, 

in that the supplementary processing means are designed for the determination of the validation 
30 integer V from an identification integer I peculiar to the user station, V being equal to the division of the 

integer 1 by the e th root of I. 

4. Device according to claim 3, characterised in that the identification integer I is other than a multiple of 
an integer k, other than 1, raised to the power e. 

35 5. Device according to claim 4, characterised in that the user station further comprises means (MG) for gen- 
erating a random number x located inside the security cabinet (ENSE). 

6. Device according to claim 5, characterised in that the random number x is of very large magnitude. 

40 7. Device according to claim 5 or 6, characterised in that the first storage means are designed for the storage 

of data defining an auxiliary function h having two variables y1 and y2, 

in that the user station (PU) contains second calculation means (MC2) for the set of whole numbers 

modulo n designed for the generation of a padding integer c, such that the remainder of the division of c 

by e is other than 0, and defined as being the value of the function h with, for the first variable y1, an 
45 integer y depending on the random number x t and for the second variable y2 a message M, the auxiliary 

function h then being deprived of ambiguity in relation to the message M and quasi-one-to-one in relation 

to the pair formed by the integer y and the message M. 

8. Device according to claim 7, characterised in that the magnitude of the padding number c is less than 
so the magnitude of the integer e. 

9. Device according to one of the claims 7 and 8, characterised in that the integer y is the exponentiation 
of x to the power e. 

55 10. Device according to one of the claims 7 to 9, characterised in that the first calculation means are designed 
for the generation of an integer z defined as being the product of x and the integer b raised to the power 
s.c. 
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11. Device according to claim 10, characterised in that the two integers y and z constitute a first coded sig- 
nature of the message M. 

12. Device according to claim 10, characterised in that the two integers z and c constitute a second coded 
signature of the message M. 

13. Device according to one of the preceding claims, characterised in that it contains a twin user station com- 
prising twin first calculation means similar to the first calculation means, and twin first and second storage 
means similar to the first and second storage means, 

in that the said first twin storage means contain the integers e, n, b. 

14. Device according to claims 11 and 13, characterised in that the twin user station contains twin second 
calculation means similar to the second calculation means. 

in that the integers 1, A, the message M and the coded signature are communicated to this twin 
user station, 

in that the twin second calculation means are designed for the determination of the integer c from 
the relationship c = h (y,M), 

in that the twin first calculation means are designed for the generation of a first intermediate integer 
t equal to y.(AM) c and a second intermediate integer u equal to the exponentiation of z to the power e, 
then are designed for the comparison of the firs and second intermediate integers t and u, the result of 
this comparison enabling the correct character of the communication of the message M to be determined. 

15. Device according to claims 12 and 13, characterised in that the twin first calculation means are capable 
of implementing the inverse operation of the first operation, that is division, and are designed to carry 
out the following sequence of steps: 

a) determination of a third intermediate integer t3 equal to the exponentiation to the power c of the 
product AM, 

b) determination of a fourth intermediate integer t4 equal to the division of 1 by t3, 

c) determination of a fifth intermediate integer t5 equal to the product of the integer z raised to the 
power e by the intermediate integer t4, 

d) determination of a sixth intermediate integer t6 equal to the value of the auxiliary function h in which 
the first variable y1 is equal to the integer t5 and in which the second variable y2 is equal to the message 
M, 

e) comparison between the integer t6 and the padding integer c, the result of this comparison enabling 
the correct character of the message communication to be determined. 

16. Device according to one of the claims 7 to 15, characterised in that the auxiliary function h is a predeter- 
mined component of the EXCLUSIVE OR function of the two variables y1 and y2. 

17. Device according to one of the claims 7 to 1 5, characterised in that the auxiliary function h is a predeter- 
mined component of a padding function g of the two variables y1 and y2. 

18. Device according to claim 17, characterised in that the padding function is a condensation function of the 
iterative type. 

19. Device according to claim 1 7, characterised in that the padding function g includes the use of an algorithm 
of the hidden cipher, recursive mode type. 

20. Device according to one of the claims 5 to 20, taken in combination with claim 13, characterised in that 
the first calculation means are designed to generate a first component of a coding cipher dependent upon 
the random number x, this first component being communicated to the twin user station (PIT), the twin 
first calculation means then being used to generate the whole of the said coding cipher from the said first 
component and the integer s\ twin of the integer s, contained in the twin second storage means. 

21. Device according to claim 20, characterised in that the first component of the coding cipher is equal to 
the integer b raised to the power x. 

22. Device according to claim 21, characterised in that the coding cipher is equal to the exponentiation to 
the power e.s' of the said first component. 
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23. Device according to one of the claims 20 to 22, characterised in that the first calculation means also de- 
termine the coding cipher from the random number x, the auxiliary integers A' and the identification I' of 
the twin user station. 

5 24. Device according to claim 23, characterised in that the coding cipher is equal to the exponentiation to 
the power x of the product A'°.l'. 

25. Device according to one of the claims 3 to 23, characterised in that it contains a first control station (AUT1) 
comprising the said supplementary processing means (MTS) and communicating the integers e, n, b to 

10 a first family (FAM 1 ) of user stations. 

26. Device according to claim 25, characterised in that it contains a second control station (AUT2) comprising 
twin supplementary processing means and communicating twin integers e2, n2, b2 to a second family 
(FAM2) of user stations. 

15 27. Device according to one of the claims 25 and 26, characterised in that the f irst control station communi- 
cates to the second control station a signature of a special message dependent upon the integers e2, n2, 
b2, obtained with the aid of the integers e, n, b, and in that the second control station communicates to 
the first control station a signature of a special message dependent upon the integers e, n, b, obtained 
with the aid of the integers e2, n2, b2. 

28. Device according to one of the claims 5 to 27, characterised in that the magnitude of the random number 
x is 512 bits. 

29. Device according to one of the preceding claims, characterised in that the magnitude of the integer n is 
25 512 bits. 

30. Device according to one of the preceding claims, characterised in that the magnitude of the first integer 
e is 65 bits. 

30 31. Device according to claims 7 and 30, characterised in that the magnitude of the padding integer c is 64 
bits. 

32. Device according to one of the preceding claims, characterised in that the magnitude of the integer b is 
512 bits. 



20 



35 



33. Device according to one of the preceding claims, characterised in that the magnitude of the integer s is 
64 bits. 



34. Device according to one of the preceding claims, characterised in that, to effect the first operation, that 
is the product of the type F.B. modulo n, F and B having whole values represented by digital words of nb 
40 bits, the first calculation means carrying out the following sequence of steps: 

a) splitting of the variable F into J+1 words of tb bits, F 0 , .... F|, F J( tb being a predetermined integer 
and J+1 an integer equal to or immediately above the ratio nb/tb, 

b) multiplication of each of the words F h by the variable B, where i is an integer between 0 and J, 

c) addition to the product of this multiplication of a digital word of sum T of a value equal to the cumu- 
45 lative sum of the previous products, reduced modulo n, the modulo n reduction of the word of sum T 

being obtained by subtracting from it a quantity d,.n ( d t being a digital word made up of tb+1 most sig- 
nificant bits of the word of sum T, each time the word of sum T reaches a value above or equal to the 
said quantity dj.n. 

so 35. Device according to claim 34, characterised in that the first calculation means contain auxiliary storage 
means to store the data defining the exponentiation modulo n of a digital word, auxiliary calculation means 
to effect operations of the type T±r.n, where r is a digital word F ( or d b and means for controlling these 
storage means and this auxiliary calculation means. 

55 
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